Ruby是一種可擴展的，解釋性的，面向對象的腳本語言它具有處理文本文件和執行系統管理任務的功能日前，RedHat發布了安全更新，修復了紅帽Ruby腳本語言中發現的任意代碼執行等重要漏洞

漏洞詳情

1.CVE—2020—36327 CVSS評分:8.8 嚴重程度:高

在安裝受源限制的gem包的依賴項時，Bundler 確定源存儲庫的方式存在漏洞在使用多個gem存儲庫并明確定義要從哪個源存儲庫安裝某些 gem 的配置中，如果該存儲庫提供了更高版本的包，則可以從不同的源安裝受源限制的gem的依賴項這可能導致安裝惡意gem版本和執行任意代碼

2.CVE—2021—41817 CVSS評分:7.5 嚴重程度:中

在 ruby 中發現了一個漏洞，發現日期對象在解析日期期間容易受到正則表達式拒絕服務 的攻擊此漏洞允許攻擊者通過提供特制的日期字符串來掛起 ruby 應用程序此漏洞的最大威脅是系統可用性

3.CVE—2021—41819 CVSS評分:7.5 嚴重程度:中

Ruby 到 2.6.8 中的 CGI::Cookie.parse 錯誤處理 cookie 名稱中的安全前綴這也通過 Ruby 的 0.3.0 影響了 CGI gem

4.CVE—2021—32066 CVSS評分:7.4 嚴重程度:中

Ruby 的 Net::IMAP 模塊在收到對 STARTTLS 命令的意外響應并且連接未升級為使用 TLS 時沒有引發異常中間人攻擊者可以利用此漏洞阻止 Ruby 應用程序使用 Net::IMAP 為與 IMAP 服務器的連接啟用 TLS 加密，然后竊聽或修改通過純文本連接發送的數據

5.CVE—2021—31799 CVSS評分:7.0 嚴重程度:中

在 RDoc 中發現了一個操作系統命令注入漏洞使用 rdoc 命令為惡意 Ruby 源代碼生成文檔可能會導致以運行 rdoc 的用戶的權限執行任意命令

受影響產品和版本

Red Hat Software Collections 1 for RHEL 7 x86_64

Red Hat Software Collections 1 for RHEL 7 s390x

Red Hat Software Collections 1 for RHEL 7 ppc64le

Red Hat Software Collections 1 for RHEL 7 x86_64

解決方案

rh—ruby26—ruby 的更新現在可用于 Red Hat Software Collections。

有關如何應用此更新的詳細信息，請參閱:

Ruby是一種可擴展的，解釋性的，面向對象的腳本語言。它具有處理文本文件和執行系統管理任務的功能。8月5日，RedHat發布了安全更新，修復了紅帽Ruby腳本語言中發現的任意代碼執行等重要漏洞。以下是漏洞詳情:

鄭重聲明：此文內容為本網站轉載企業宣傳資訊，目的在于傳播更多信息，與本站立場無關。僅供讀者參考，并請自行核實相關內容。